1. ExorLive Hjelpesenter
  2. Juridisk
  3. Juridisk

Lisensavtale(LA) med databehandleravtale (DBA)

Avatar
Print Friendly and PDF

Avtalen på denne siden inkluderer Exorlives lisensavtale, lisensvilkår og databehandleravtale.

Klikk her for å komme direkte til våre personvernregler. 

Klikk her for å komme direkte til lisensvilkår.

Klikk her for å komme direkte til vår databehandleravtale

Klikk her for å komme direkte til vår API-terms of service

Lisensavtale

Innledning
Denne lisensavtalen er inngått mellom ExorLive ("Lisensgiver") og deg, heretter kalt "Lisenstaker". Samlet omtalt som “Partene”.

Denne avtalen er integrert med og benyttes i sammenheng med den tilknyttede databehandleravtalen, Service-Level Agreement, API-vilkårene (API Terms) og lisensvilkårene. Samlet utgjør disse dokumentene den fullstendige avtalen mellom partene, og de regulerer bruken av ExorLive-systemet (heretter "Systemet"), tilhørende funksjoner og integrasjoner, samt behandlingen av personopplysninger. Dokumentene omtales samlet som "Avtalen".

Ved å installere, kopiere, få tilgang til eller på annen måte bruke Systemet, inkludert gjennom API-er, bekrefter du at du har lest, forstått og akseptert alle vilkår og betingelser i denne avtalen samt i den tilknyttede databehandleravtalen, lisensvilkårene, API-vilkårene og eventuelle andre tilleggsvilkår.

Lisenstakeren erkjenner og godtar at etterlevelse av hver av disse avtalene er en forutsetning for bruk av Systemet.

Ved eventuelle uoverensstemmelser mellom dokumentene, skal vilkårene i denne lisensavtalen ha forrang, med det forbehold at bestemmelser knyttet til personvern i databehandleravtalen skal ha prioritet i spørsmål som gjelder behandling av personopplysninger.

Lisensens omfang
ExorLive er et system som tilbyr et omfattende verktøy for trening og helse, rettet mot trenere, fysioterapeuter, helsepersonell og sluttbrukere. Plattformen gir brukerne tilgang til en stor database med øvelser, som kan tilpasses og settes sammen til individuelle treningsprogrammer. ExorLive gjør det enkelt å lage og dele personlige treningsplaner med klienter og pasienter.

Lisenstaker har ved gjennomført kjøp via bestillingsskjemaet i nettbutikken kjøpt en lisens til å benytte Systemet på de vilkår som fremgår av Avtalen og som spesifisert i ordrebekreftelsen.

Levering
Systemet stilles til disposisjon for Lisenstaker som en Software as a Service-løsning. Programvaren er lisensbasert og Systemet er lagret på en sentral server.

Lisensgiver leverer brukertilgang til Lisenstaker til den e-postadressen som er registrert ved kjøpet.

Rettigheter – Lisenstaker
Lisenstaker har alle rettigheter til all data som Lisenstaker overlater til Lisensgiver, eller som genereres eller lagres som ledd i bruken av Systemet. Lisensgiver har kun rett til å benytte Lisenstakers data til de formål som fremgår av Avtalen.

Lisensgiver anerkjenner at data i henhold til denne bestemmelsen betraktes som Lisenstakers konfidensielle opplysninger.

I forbindelse med hel eller delvis oppsigelse eller opphør av Avtalen, uansett årsak, er Lisensgiver forpliktet til å bistå Lisenstaker, i den grad det er relevant og nødvendig, med overføring av all data til Lisenstaker, andre leverandører eller myndigheter.

Lisensgiver har rett til vederlag for bistand i forbindelse med overgang. Vederlag ytes i henhold til gjeldende timesatser.

Varighet og oppsigelse
Lisensene trer i kraft på ordredatoen og løper deretter i lisensperioden med automatisk fornyelse.

Lisensperiodens lengde er spesifisert ved kjøpstidspunktet.

Lisenstaker kan si opp denne lisensavtalen med skriftlig varsel innen utløpet av lisensperioden.

Dersom Lisensgiver ikke har mottatt Lisenstakers skriftlige oppsigelse senest på datoen for lisensperiodens utløp, vil Lisenstaker være bundet av Avtalen for ytterligere én lisensperiode.

Lisensavgift
Lisensavgiften er beskrevet i bestillingsskjemaet i nettbutikken.

Den til enhver tid gjeldende prisen for levering av det lisensierte justeres årlig med virkning fra datoen for lisensens ikrafttredelse.

Prisjusteringen skjer for å imøtekomme økte kostnader til drift og utvikling av Systemet og dets funksjoner.

Varsel om prisendringer kan gis ved utsendelse av faktura før utløpet av den relevante abonnementsperioden. Dersom prisendringen ikke kan aksepteres, har Lisenstaker i dette tilfellet rett til å tre tilbake fra Avtalen ved utløpet av inneværende abonnementsperiode, ved skriftlig melding til Lisensgiver innen 14 dager fra fakturadato.

Fakturering og betalingsbetingelser
Lisensen forfaller til betaling ved bestillingstidspunktet eller som angitt på utstedt faktura.

Dersom Lisenstaker velger å kjøpe en tilleggsytelse innenfor lisensperioden, vil denne lisensen bli fakturert på det tidspunktet tillegget kjøpes. Fakturering skjer da for perioden fram til utløpet av den opprinnelige lisensperioden.

Ved eventuell fornyelse av lisensen vil det kjøpte tillegget bli integrert i den avgitte netthandelsordren, som deretter vil utgjøre den samlede lisensen.

Fakturering skjer deretter årlig for ett år av gangen, og forfaller til betaling som angitt i den elektronisk utstedte fakturaen.

Dersom siste rettidige betalingsdato ikke faller på en bankdag, utsettes betalingsdatoen til neste bankdag.

Ved forsinket betaling har Lisensgiver rett til å beregne renter i henhold til bestemmelsene i forsinkelsesrenteloven.

Service
Lisensgivers servicepolitikk og servicemål i tilknytning til installasjon, bruk og tilgang til Systemet for Lisenstaker, dennes ansatte og kontakter, er nærmere regulert i Lisensgivers servicemål (SLO).

Personopplysninger
Lisensgiver er forpliktet til å sikre at til enhver tid gjeldende personvernlovgivning i Norge overholdes for den behandlingen som utføres av Lisensgiver – særlig personvernforordningen (GDPR) og personopplysningsloven.

Ettersom Lisensgivers levering av Systemet innebærer behandling av personopplysninger, forplikter Partene seg til å inngå en databehandleravtale som overholder den til enhver tid gjeldende personvernlovgivning.

Denne databehandleravtalen er integrert i denne avtalen og anses som inngått ved Lisenstakers bruk eller aksept av avtalen.

Lisensgiver er ikke ansvarlig for å sikre at Lisenstaker overholder sine egne forpliktelser i henhold til gjeldende lovgivning, herunder som behandlingsansvarlig.

Garanti
Systemet er lisensiert, ikke solgt. Lisensgiver gir ingen garantier av noe slag, med mindre dette er spesifikt angitt i Avtalen, eller uttrykkelig avtalt mellom Lisensgiver og Lisenstaker.

Lisensgivers misligholdelse
Det foreligger en mangel fra Lisensgivers side dersom det leverte ikke oppfyller de angitte garantier, eller på annen måte ikke er i tråd med Lisensgivers tiltenkte formål og innholdet i Avtalen.

Lisensgiver er, på forespørsel fra Lisenstaker, forpliktet til å rette de påpekte manglene så snart som mulig. Dersom retting ikke er mulig, eller Lisenstaker uten hell har forsøkt å rette en mangel gjentatte ganger, kan Lisenstaker ha krav på kompensasjon i form av servicekreditter som godskrives på fakturaen for neste lisensperiode. Størrelsen på beløpet fastsettes i dialog med Lisensgiver, eller i henhold til Servicemålene for tilgjengelighet dersom mangelen omfattes av disse.

Taushetsplikt
Partene skal overholde taushetsplikt i vanlig omfang for forhold som ikke er allment kjent. Taushetsplikten er spesielt understreket i databehandleravtalen for de forhold som omfattes der.

Lisensgiver kan likevel oppgi Lisenstaker på en referanseliste på sin nettside etter levering har funnet sted. Lisensgivers øvrige markedsføring knyttet til forhold vedrørende Lisenstaker kan kun skje med Lisenstakers samtykke.

Lisenstakers misligholdelse
Dersom Lisenstaker misligholder sine betalingsforpliktelser i henhold til Avtalen, har Lisensgiver rett til å beregne rente i samsvar med bestemmelsene i forsinkelsesrenteloven.

Lisensgiver er også berettiget til å heve Avtalen dersom det er gitt skriftlig varsel til Lisenstaker med spesifikasjon av misligholdet, samt varsel om at manglende etterlevelse innen 14 virkedager vil føre til heving av Avtalen, og Lisenstaker ikke har oppfylt sine forpliktelser innen fristen.

Erstatningsansvar
Partene er erstatningspliktige etter alminnelige regler i norsk rett.

Partene er under ingen omstendigheter ansvarlige for driftstap, følgeskader eller andre indirekte tap. Tap av data anses som indirekte tap.

Lisensgivers erstatningsansvar i henhold til Avtalen kan maksimalt utgjøre et beløp tilsvarende 3 måneders lisensavgift for den spesifikke modulen som er årsaken til erstatningskravet.

Ovennevnte begrensninger i erstatningsansvaret gjelder imidlertid ikke for grovt uaktsomme eller forsettlige handlinger eller unnlatelser som pådrar ansvar.

Forsikring
Lisensgiver skal i hele Avtalens løpetid opprettholde en ansvarsforsikring som dekker skader som ansatte kan påføre i forbindelse med leveransen av lisensen, samt være forsikret mot feilaktig rådgivning, dersom Avtalen omfatter en rådgivningstjeneste.

Overdragelse
Lisenstaker kan ikke overdra rettigheter og/eller forpliktelser i henhold til denne avtalen uten spesifikk forhåndsskiftelig tillatelse fra Lisensgiver. Ethvert forsøk på slik overdragelse skal anses som ugyldig. Uavhengig av ovenstående har Lisensgiver rett til å overdra enhver avtale, inkludert forpliktelser og ytelse, helt eller delvis, til sine partnere eller leverandører uten ytterligere varsel.

Force majeure
Ingen av partene skal i henhold til Avtalen anses som ansvarlige overfor den andre parten for forhold som ligger utenfor partens kontroll, og som parten ikke burde ha tatt i betraktning ved inngåelsen av Avtalen, og som heller ikke kunne vært unngått eller overvunnet, herunder, men ikke begrenset til, krig og mobilisering, borgerlige uroligheter, naturkatastrofer, streik, lockout, sviktende forsyning av råvarer, epidemi, pandemi eller annet utbrudd av alvorlig menneskelig sykdom, brann, skade på produksjonsutstyr, avbrudd i vanlig kommunikasjon, inkludert energiforsyning, samt import- og/eller eksportforbud.

Forhold hos en parts leverandør anses som force majeure for denne parten, dersom det foreligger en tilsvarende hindring for leverandøren, og leverandøren ikke burde ha unngått eller overvunnet hindringen, heller ikke ved bruk av alternativ leverandør.

Sanksjoner og eksportkontroll
Lisensgiver er forpliktet til å sikre at gjennomføringen av lisensavtalen til enhver tid ikke medfører brudd på sanksjoner, eksportkontrollregler, embargoer og lignende, herunder, men ikke begrenset til, EU-forordning 833/2014 slik den sist er endret ved EU-forordning 576/2022, artikkel 1 nr. 23), samt eventuelle senere endringer.

Lisensgiver er i hele avtaleperioden forpliktet til umiddelbart å gi skriftlig melding dersom det skjer endringer i Lisensgiver eller eventuelle underleverandørers eierforhold, kontrollen med leverandøren/underleverandøren, eller andre forhold som er relevante for etterlevelse av sanksjoner, eksportkontrollregler, embargoer og lignende.

Lovvalg og verneting

Avtalen er underlagt norsk rett.

Dersom det oppstår uenighet mellom partene i forbindelse med denne Avtalen, skal partene med en positiv, samarbeidsvillig og ansvarlig holdning forsøke å innlede forhandlinger med sikte på å løse tvisten. Om nødvendig skal forhandlingene løftes til høyeste nivå i partenes organisasjoner.

Dersom partene, etter å ha forsøkt mekling, ikke klarer å finne en løsning, kan hver av partene etter eget skjønn reise søksmål.

Enhver tvist som måtte oppstå i forbindelse med Avtalen, inkludert tvister om Avtalens eksistens eller gyldighet, skal avgjøres ved Oslo tingrett, med mindre parterne blir enige om annet.

 

Lisensvilkår

Lisensvilkårene utgjør et tillegg til lisensavtalen og har til formål å fastsette de juridiske vilkår og betingelser under hvilke en lisenshaver er berettiget til å benytte ExorLive-systemet.


1. Definisjoner 

Med henblikk på tolkning og gjennomføring av avtalen skal følgende uttrykk, med mindre annet uttrykkelig er angitt, ha følgende betydning:

Avtale: De samlede kontraktsvilkår som regulerer de samlede rettigheter og forpliktelser mellom partene.

Lisensgiver: ExorLive AS

Lisenshaver: Kunden, inkludert individuelle og organisatoriske brukere, som har inngått avtale med lisensgiver om levering av det lisensierte.

Det lisensierte: De av lisensgivers nettbaserte produkter som lisenshaver har fått tilgang til, og som er underlagt disse lisensvilkårene. Omtales også som ExorLive-systemet eller Systemet.

Lisensretten: Lisenshavers bruksrett til det lisensierte, som denne oppnår ved aksept av lisensvilkårene og betaling av de til lisensen tilknyttede lisensavgifter.

Lisensvilkår(ene): Nærværende lisensvilkår, tilknyttede dokumenter samt eventuelle påfølgende tillegg eller endringer.

Lisensavgift: Avgiften lisenshaver betaler for adgang til å benytte det lisensierte.

Lisensperiode: Den tiden lisensen er aktiv og gyldig, og hvor lisenshaver har rett til å bruke det lisensierte.

Avtaleperiode: Den tidsperioden avtalen mellom lisenshaver og lisensgiver er gjeldende.

Konto: Sluttbrukerens konto i systemet, som består av individuelle brukernavn, passord og andre personlige opplysninger for å få tilgang til og bruke systemet.

innhold: Medieelementer som publiseres i systemet av brukeren og/eller sluttbrukeren.

Brukerinnhold: innhold lastet opp eller sendt inn til systemet av brukeren eller sluttbrukeren, herunder tegninger, fotografier, videoer, kommentarer og beskrivelser av øvelser samt øvrige medieelementer.

Medieelementer: Ethvert innhold som finnes i systemet, herunder men ikke begrenset til tekst, tegninger, fotografier, videoer, lyder og bildeelementer, trykt materiale og elektronisk dokumentasjon på nett.

ExorLive-systemet / System(et): Nettprogrammet ExorLive™, som omfatter, men ikke er begrenset til, brukergrensesnitt, API-grensesnitt, programvare, medieelementer og tilhørende informasjon, uansett om det presenteres i en spesifikk eller ikke-spesifikk form, på nettsider eid av ExorLive eller tredjepart, på mobile enheter så vel som nettbrett.

Systemnøkler: Den kombinasjonen(er) av brukernavn og passord som gir lisenshaver tilgang til systemet.

Brukere:

Profesjonelle brukere: Helsepersonell, fysioterapeuter, personlige trenere eller andre fagpersoner som benytter systemet for å utarbeide treningsprogrammer eller rehabiliteringsplaner for sine klienter eller pasienter.

Organisasjoner eller virksomheter: Treningssentre, klinikker, treningsfasiliteter eller andre organisasjoner som benytter tjenesten for sine medlemmer eller ansatte.

Sluttbrukere: Pasienter/borgere/klienter som får tilgang til og bruker systemet til personlige eller profesjonelle formål, slik som personlig trening, rehabilitering eller andre individuelle behov. Dette omfatter kontakter i systemet både med og uten brukerkonto.


2. Tilgang

Kun de brukere som lisensgiver har gitt lisenshaver i henhold til avtalen, har rett til å bruke det lisensierte. En bruker kan kun logge inn på det lisensierte fra én enhet om gangen, med mindre annet er særskilt avtalt. 

Dersom lisenshaver er en virksomhet, offentlig eller privat institusjon, organisasjon mv., må lisenshaver ikke, med mindre annet er avtalt, gi andre ansatte enn de(n) bruker(ne) lisensgiver har utstedt brukertilgang til, tilgang til det lisensierte via online-tjeneste, internett eller intranett. Tilsvarende må lisenshaver ikke på annen måte gi de av lisensgiver utstedte brukertilgang(er) videre til andre ansatte.


3. Bruksrett til det lisensierte

Ved aksept av lisensvilkårene og betaling av de til lisensen knyttede lisensavgifter, oppnår lisenshaver en tidsbegrenset, ikke-overdragbar og ikke-eksklusiv bruksrett til det lisensierte samt eventuelle senere oppdateringer av det lisensierte i samsvar med lisensvilkårene. 

Lisensen gir brukeren tillatelse til blant annet å opprette, skrive ut og bruke et ubegrenset antall kopier av innholdet i ExorLive-systemet (heretter “Systemet”), inkludert dokumentasjon, forutsatt at slike kopier kun brukes til eksklusive og personlige formål, og ikke publiseres eller distribueres (verken på papir eller elektronisk). 

Det lisensierte eller deler av dette må ikke utleveres eller på annen måte gjøres tilgjengelig for tredjepart. Lisenshaver kan imidlertid gi sluttbrukeren tilgang til ExorLive-Go, treningsprogrammer eller lignende programmer, som lisenshaver har lisens til i henhold til avtalen.


4. Overholdelse av lisensvilkårene

Lisenshaver plikter å sørge for at lisenshavers brukere er informert om og overholder lisensvilkårene, samt respekterer lisensgivers immaterielle rettigheter, inkludert opphavsrettigheter. 

Lisensgiver kontrollerer løpende at lisensvilkårene overholdes. Dersom lisensgiver får begrunnet mistanke om at lisenshaver bryter lisensvilkårene, skal lisenshaver på lisensgivers forespørsel gi en skriftlig redegjørelse for forhold av betydning for vurderingen av om lisensvilkårene er brutt. Lisenshaver er alltid ansvarlig for at lisenshavers bruker benytter det lisensierte i samsvar med lisensvilkårene. Bruk av det lisensierte i strid med lisensvilkårene skal anses som et vesentlig mislighold som kan medføre heving av avtalen.


5. Angrerett

Dersom lisenshaver er forbruker, har lisenshaver i henhold til angrerettloven som hovedregel 14 dagers angrerett på kjøpet av det lisensierte. Lisenshaver erkjenner at eventuell angrerett opphører når det lisensierte produktet tas i bruk. Lisenshaver er således inneforstått med at angreretten kun kan benyttes frem til det tidspunktet bruken av det lisensierte aktiveres. Dersom lisenshaver ikke er forbruker, har lisenshaver ikke adgang til å angre kjøpet av det lisensierte.


6. Oppdatering og endring av det lisensierte

Lisensgiver har rett til løpende å oppgradere, vedlikeholde og oppdatere det lisensierte når lisensgiver finner det nødvendig. Slik oppdatering og vedlikehold medfører ingen begrensninger eller endringer i lisenshavers forpliktelser overfor lisensgiver, og gir ikke lisenshaver rett til å gjøre misligholdsbeføyelser gjeldende mot lisensgiver.

Lisensgiver er videre berettiget til å foreta endringer i funksjonaliteten til det lisensierte, herunder å fjerne og/eller endre funksjoner som lisensgiver anser som nødvendig for å kunne tilby best mulig tjeneste til sine kunder generelt. Slike endringer i funksjonaliteten til det lisensierte medfører heller ingen begrensninger eller endringer i lisenshavers forpliktelser overfor lisensgiver, og gir heller ikke lisenshaver rett til å gjøre misligholdsbeføyelser gjeldende mot lisensgiver.

Endringer og oppdateringer i henhold til dette punktet begrenser likevel ikke lisenshavers rett til å gjøre misligholdsbeføyelser gjeldende dersom endringene/opdateringene er av en slik vesentlig karakter at det lisensierte i sin helhet kan anses å ha endret karakter.


7. Rettigheter til det lisensierte

Lisensgiver, eller tredjepart som lisensgiver har avledet sine rettigheter fra, har opphavsrett og enhver annen rettighet til det lisensierte, inkludert html-kode, tekst, bilder eller andre medieelementer som er publisert i systemet og som lisenshaver kan få tilgang til via ExorLive.

Lisenshaver skal respektere lisensgivers rettigheter, og lisenshaver er ansvarlig, uten beløpsmessig begrensning, for overtredelse av disse rettighetene, herunder urettmessig utlevering av det lisensierte til tredjepart.

Lisenshaver må ikke bryte eller endre eventuelle sikkerhetsmekanismer, inkludert sikkerhetskoder, og lisenshaver må heller ikke endre eller fjerne merking i det lisensierte vedrørende rettighetsforhold, varemerker, produktinformasjon eller lignende.

Med mindre annet er særskilt avtalt, inkluderer ikke lisensen følgende rettigheter eller tillatelser:

Salg, underlisensiering, utleie, leasing, overføring, publisering, opplasting eller enhver annen form for distribusjon av noen del av systemet, eller som del av en samling, til tredjepart, enten til kommersielle eller ikke-kommersielle formål, med mindre annet er uttrykkelig angitt i denne avtalen eller gitt gjennom systemet.

Enhver avledet eller indirekte bruk utenfor det tiltenkte formålet med systemet, inkludert, men ikke begrenset til, å produsere resultater fra systemet ved hjelp av tredjeparts programvare og tilgang til systemet utenfor de normale oppstartrutinene.

Alle andre forsøk på å bruke, få tilgang til eller kopiere kildekoden eller databasene i systemet, inkludert, men ikke begrenset til, handlinger som reverse engineering, omprogrammering, dekompilering eller demontering av programvaren.

Direkte eller indirekte tilknytning, referanse til eller assosiasjon med ethvert annet system, tjeneste, enhet eller aktivitet relatert til ExorLive eller systemet, inkludert, men ikke begrenset til, ethvert medieelement, varemerke eller design, uavhengig av om det er registrert eller ikke.

Opprettelse av uanstendige eller støtende verk, innhold eller materiale.

Innhold lastet opp av kunden

Systemet gir brukeren og sluttbrukeren mulighet til å sende inn innhold til systemet, inkludert tegninger, fotografier, videoer, kommentarer og beskrivelser av øvelser.

Brukeren og sluttbrukeren beholder eiendomsretten til dette brukerinnholdet. Ved opplasting av brukerinnhold vil innholdet som standard kun være tilgjengelig for kontakter og instruktører i samme organisasjon.

Brukeren kan velge å gjøre brukerinnholdet tilgjengelig globalt i systemet. Det gis da ExorLive og andre brukere av systemet en ikke-eksklusiv, overdragbar lisens til å bruke, hoste, lagre, reprodusere, modifisere, skape avledede verk, kommunisere, publisere, fremføre offentlig, vise offentlig og distribuere slikt innhold. ExorLive forblir eier av alle treningsprogrammer laget av og i systemet.

Lisenshaver og den enkelte bruker er forpliktet til å sørge for at det opplastede brukerinnholdet ikke krenker noen rettigheter, og at eventuelle nødvendige tillatelser til deling av brukerinnholdet er innhentet fra tredjepart.

Lisensgiver er ikke ansvarlig for tap, skade eller kostnader som oppstår ved opplasting eller bruk av brukerinnhold, og lisenshaver garanterer ved inngåelse av denne lisensavtalen å holde lisensgiver skadesløs for ethvert krav lisensgiver måtte bli møtt med fra tredjepart, for så vidt kravet gjelder krenkelse av tredjeparts rettigheter til brukerinnholdet.

Lisensgiver forbeholder seg retten til å fjerne ethvert innhold uten varsel og uten begrunnelse, dersom det anses å være i strid med tredjeparts rettigheter eller for øvrig ikke i samsvar med ExorLives retningslinjer.


8. Utbedring av feil

Det lisensierte gis i lisens "som det er", uten noen form for garanti. Lisensgiver gir følgelig ingen garanti for at bruk eller tilkobling til det lisensierte vil være uten avbrudd og feilfritt. Lisensgiver gjennomfører løpende testing av det lisensierte, men kan ikke utelukke at det lisensierte – som all annen programvare gjort tilgjengelig på nett – inneholder feil og uhensiktsmessigheter.

Slike feil gir ikke grunnlag for heving av avtalen, og gir heller ikke lisenshaver krav på utbedring eller andre misligholdsbeføyelser. Det samme gjelder for innholdsmessige feil. Lisensgiver vil tilstrebe at alle feil og uhensiktsmessigheter i det lisensierte rettes fortløpende, men gir ingen garanti for at enhver feil eller uhensiktsmessighet faktisk vil bli rettet.


9. Endring av de generelle vilkår og betingelser

Lisensgiver kan til enhver tid endre lisensvilkårene, forutsatt at slike endringer meddeles lisenshaver senest 30 (tretti) dager før endringen trer i kraft, med mindre det gjelder en endring som er nødvendig for at ExorLive skal kunne overholde gjeldende lovgivning, og hvor en kortere varslingsperiode er nødvendig for å sikre etterlevelse av loven. Lisensgivers varsel til lisenshaver skal angi hvilke endringer som er foretatt.

Dersom lisenshaver ikke ønsker å være bundet av de endrede lisensvilkårene, må lisenshaver før endringene trer i kraft, varsle lisensgiver om at de endrede lisensvilkårene ikke aksepteres. Lisenshaver skal angi årsaken til hvorfor lisensvilkårene ikke kan aksepteres. Lisensgiver vil deretter anse avtalen som oppsagt, med mindre annet blir avtalt.

Dersom lisenshaver ikke innen 30 (tretti) dager etter varsel om endringen har meddelt lisensgiver at endringen av lisensvilkårene ikke kan aksepteres, fortsetter avtalen i henhold til de endrede lisensvilkårene.


10. Informasjon

Innsamling av ikke-identifiserbare opplysninger

Lisenshaver aksepterer at lisensgiver kan samle inn, bruke og lagre statistiske, tekniske og andre ikke-identifiserbare opplysninger innhentet i forbindelse med systemovervåkning, analyse, forbedring og støtteprogrammer. 

Lisensgiver kan kun bruke disse opplysningene til å forbedre ExorLives systemer, eller til å levere tilpassede tjenester eller teknologier til lisenshaver.

Innsamling av personlig identifiserbare opplysninger

I forbindelse med leveringen av det lisensierte vil lisensgiver samle inn og behandle opplysninger om lisenshaver, brukeren og dennes pasienter/borgere/klienter.

Med mindre annet er uttrykkelig angitt, er lisensgiver databehandler og utfører behandlingen av personopplysninger på vegne av lisenshaver, som er behandlingsansvarlig. 

Lisensgiver er kun behandlingsansvarlig for persondata som legges inn i systemet for egne ansatte og for egne prosjekter. 

Personopplysninger behandles kun i den grad det er nødvendig for å levere det lisensierte, og det behandles kun de opplysningene som brukeren eller sluttbrukeren måtte registrere i systemet.

Hvordan og når vi i ExorLive samler inn og behandler personopplysninger fremgår av ExorLives personvernerklæring og/eller inngått databehandleravtale.


11. Sikkerhet

Lisensgiver sikrer at brukergenerert innhold oppbevares i et datamiljø som oppfyller sikkerhetskrav tilsvarende kravene for lagring av personopplysninger.


12. Konfidensialitet

Lisensgiver sikrer at kun de av lisensgivers medarbeidere som har behov for slik tilgang for å utføre sine arbeidsoppgaver, får adgang til brukergenerert innhold. Lisensgiver sørger videre for at medarbeidere som får tilgang til brukergenerert innhold, undertegner en konfidensialitetsklausul om taushet rundt kunnskap tilegnet i denne sammenheng.


13. Ansvarsfraskrivelse og begrensning av ansvar

Lisensgiver er ansvarlig for produktskader i samsvar med de bestemmelser i produktansvarslovgivningen som ikke kan fravikes ved avtale, men fraskriver seg produktansvar på ethvert annet grunnlag.

Lisensgiver er under ingen omstendigheter ansvarlig overfor lisenshaver for indirekte tap eller følgeskader oppstått i forbindelse med bruk av det lisensierte, herunder, men ikke begrenset til, driftstap, tapt forventet fortjeneste, tap og/eller gjenoppretting av data, tap av goodwill samt andre former for følgeskader. Herunder er lisensgiver heller ikke ansvarlig overfor lisenshaver for feil ved lisenshavers rådgivning til tredjepart, dersom dette skyldes feil eller mangler ved det lisensierte.

Lisensgivers erstatningsansvar i henhold til avtalen kan maksimalt utgjøre et beløp tilsvarende 3 måneders lisensavgift for den spesifikke modulen som ligger til grunn for erstatningskravet.

Lisensgiver fraskriver seg ethvert ansvar for tap eller skade som kan tilskrives lisenshavers egen tilkobling til lisensgivers tjeneste, inkludert manglende tilkobling, systemkrasj m.m. Det samme gjelder for lisenshavers øvrige IT-utstyr, nettleser, programvare mv.

Ved lisenshavers mislighold av lisensvilkårene, er lisensgiver, i tillegg til et eventuelt krav om vederlag for uberettiget utnyttelse av det lisensierte, berettiget til erstatning i samsvar med norsk retts alminnelige regler.

Særlig ved kjøp av modulen: Assistant

Lisenshaver, herunder dennes ansatte, har via ExorLive Assistant mulighet til selv å tilpasse eller endre treningsprogrammer for sluttbrukeren.

Det er lisenshavers ansvar å påse at eventuelle endringer av treningsprogrammer skjer med hensyn til sluttbrukerens helsetilstand og med nødvendig faglig omtanke. Lisensgiver anbefaler alltid at endringer i treningsprogrammer foretas i samråd med relevant fagpersonell.

Lisensgiver påtar seg ikke noe ansvar for eventuelle personskader eller andre skader som måtte oppstå som følge av slike endringer, uavhengig av årsaken til endringen. Ethvert ansvar for skader som måtte være en følge av endringer foretatt av lisenshaver eller dennes ansatte, påhviler utelukkende lisenshaver.

Særlig ved kjøp av modulen: Assistant Plus

Ved bruk av ExorLive Assistant Plus genereres treningsprogrammer på bakgrunn av opplysninger tastet inn av lisenshaver eller dennes ansatte gjennom en automatisk screening av en sluttbrukers spesifikke behov og/eller tilstand. Lisensgiver påtar seg ansvaret for systemets funksjoner.

Hele ansvaret for korrekt og hensiktsmessig tilpasning og bruk av treningsprogrammer generert via ExorLive Assistant Plus påhviler likevel utelukkende lisenshaver. Det er lisenshavers plikt å sørge for at alle opplysninger som oppgis i screeningen er korrekte, samt at det utarbeidede treningsprogrammet er egnet og forsvarlig for den enkelte sluttbruker. Lisensgiver anbefaler at treningsprogrammer alltid vurderes faglig før de tas i bruk.

Lisensgiver kan ikke holdes ansvarlig for eventuelle personskader eller andre skader som måtte oppstå som følge av bruk av slike treningsprogrammer.


14. Force majeure

Ingen av partene skal etter avtalen anses som ansvarlig overfor den andre parten for forhold som ligger utenfor partens kontroll, og som parten ved avtalens inngåelse ikke burde ha tatt i betraktning eller kunne ha unngått eller overvunnet, herunder, men ikke begrenset til, krig og mobilisering, borgerlige uroligheter, naturkatastrofer, streik, lockout, sviktende forsyning av råvarer, epidemi, pandemi eller annet utbrudd av alvorlig menneskelig sykdom, brann, skade på produksjonsutstyr, avbrudd i ordinær kommunikasjon, inkludert energiforsyning, samt import- og/eller eksportforbud.

Forhold hos en parts leverandør skal anses som force majeure for denne parten dersom det for leverandøren foreligger en tilsvarende hindring, og leverandøren ikke burde ha unngått eller overvunnet denne, eventuelt ved bruk av en alternativ leverandør.

Databehandleravtale

Denne databehandleravtalen (“Databehandleravtalen”) regulerer ExorLive AS sin behandling av personopplysninger på vegne av kunden i henhold til personvernforordningen (GDPR) artikkel 28.

Parter

Databehandleravtalen inngås mellom:

Behandlingsansvarlig

Den juridiske enheten (kunden) som har kjøpt lisens til og akseptert vilkårene for bruk av ExorLive-systemet.

Databehandler

ExorLive AS
Org.nr.: 985 542 597
Adresse: Hovfaret 4, 0275 Oslo, Norge

Behandlingsansvarlig og Databehandler benevnes hver for seg som “Part” og samlet som “Partene”.

Gyldighet og aksept

Databehandleravtalen trer i kraft ved kundens aksept av ExorLives bruksvilkår i forbindelse med opprettelse eller kjøp av lisens til ExorLive-systemet.

Databehandleravtalen utgjør en integrert del av avtalen mellom Partene og gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

Dersom Partene har inngått en separat, skriftlig databehandleravtale, går denne foran.

Dokumentasjon

Den til enhver tid gjeldende versjonen av Databehandleravtalen er tilgjengelig på ExorLives nettside.

Behandlingsansvarlig kan når som helst laste ned en kopi av avtalen. Etter forespørsel kan en signert versjon gjøres tilgjengelig dersom dette er påkrevd.
 

0. Definisjoner

I denne avtalen forstås med:

  • Behandling: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger eller sett av personopplysninger, enten automatisert eller ikke, som for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, bruk, utlevering ved overføring, spredning eller annen form for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
  • Personopplysningslovgivning: All relevant personvernlovgivning, herunder EUs personvernforordning (GDPR), nasjonal personopplysningslov og tilhørende forskrifter, samt annen lovgivning som gjelder for behandlingen av personopplysninger under denne avtalen.
  • Behandlingsansvarlig: En fysisk eller juridisk person, offentlig myndighet, institusjon eller annet organ som alene eller sammen med andre bestemmer formålet med og midlene for behandlingen av personopplysninger.
  • Instruks: Skriftlige instruksjoner som nærmere angir formål, varighet, art og omfang, type personopplysninger, kategorier av registrerte samt eventuelle særskilte forhold som omfattes av behandlingen.
  • Logg: Resultatet av loggføring.
  • Loggføring: Kontinuerlig registrering av opplysninger om behandlingen av personopplysninger som utføres i henhold til denne avtalen, og som kan knyttes til en enkelt fysisk person.
  • Databehandler: En fysisk eller juridisk person, offentlig myndighet, institusjon eller annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
  • Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person. En identifiserbar person er en person som direkte eller indirekte kan identifiseres, særlig ved henvisning til et navn, et identifikasjonsnummer, lokaliseringsdata, en nettidentifikator eller til én eller flere faktorer som er særskilte for den fysiske personens fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.
  • Personopplysningsbrudd: Et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, uautorisert offentliggjøring av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
  • Registrert: Den fysiske personen som personopplysningene gjelder.
  • Tredjeland: En stat som ikke er medlem av Den europeiske union (EU) eller som ikke er tilknyttet Det europeiske økonomiske samarbeidsområdet (EØS).
  • Underleverandør / underdatabehandler: En fysisk eller juridisk person, offentlig myndighet, institusjon eller annet organ som, som underleverandør til databehandleren, behandler personopplysninger på vegne av den behandlingsansvarlige.

1. Formål

Bestemmelsene i denne databehandleravtalen fastsetter databehandlerens rettigheter og forpliktelser ved behandling av personopplysninger på vegne av den behandlingsansvarlige.

Bestemmelsene er utarbeidet med sikte på at partene skal etterleve artikkel 28 nr. 3 i Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, og om oppheving av direktiv 95/46/EF.

Bestemmelsene fritar ikke databehandleren fra forpliktelser som følger av personvernforordningen eller annen relevant lovgivning.

2. Den behandlingsansvarliges rettigheter og forpliktelser

Den behandlingsansvarlige er ansvarlig for at behandling av personopplysninger skjer i samsvar med GDPR, annen relevant EU-rett, nasjonal lovgivning og denne databehandleravtalen.

Den behandlingsansvarlige fastsetter formålene med og virkemidlene for behandlingen av personopplysninger.

Den behandlingsansvarlige er ansvarlig for at det foreligger et gyldig behandlingsgrunnlag for den behandling av personopplysninger som databehandleren instrueres til å utføre.

3. Databehandleren handler etter instruks

Databehandleren skal kun behandle personopplysninger etter dokumentert instruks fra den behandlingsansvarlige, med mindre behandlingen er pålagt i henhold til EU-lovgivning eller nasjonal lovgivning i en medlemsstat som databehandleren er underlagt. 

Instruks kan også gis i ettertid av den behandlingsansvarlige mens behandlingen pågår, men instruksen skal alltid være dokumentert og oppbevares skriftlig - inkludert i elektronisk format - sammen med disse bestemmelsene.

Databehandleren skal umiddelbart varsle den behandlingsansvarlige dersom han mener at en gitt instruks er i strid med personvernforordningen eller annen relevant EU- eller nasjonal lovgivning.

Ved inngåelsen av denne databehandleravtalen foreligger det en klar instruks for behandlingens utførelse, som beskrevet i punkt 4.

4. Databehandlers behandling av personopplysninger

4.1 Generelt om behandlingen

Databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige i forbindelse med leveransen av ExorLive-systemet i henhold til lisensavtalen.

Databehandleren skal kun behandle personopplysninger i den utstrekning det er nødvendig for å oppfylle lisensavtalen og i samsvar med den behandlingsansvarliges dokumenterte instruks.

Databehandleren har ikke rett til å behandle personopplysninger for egne formål, med mindre dette følger av gjeldende lovgivning eller uttrykkelig er avtalt mellom partene.

4.2 Behandlingsinstruks og kategorier av personopplysninger

Databehandleren behandler personopplysninger i samsvar med den behandlingsansvarliges dokumenterte instruks, slik det fremgår av denne avtalen og av Bilag 1 (Behandlingsinstruks). Bilag 1 regulerer nærmere formålet med behandlingen, behandlingens art, kategorier av personopplysninger, kategorier av registrerte samt behandlingens varighet, og utgjør den bindende instruks etter personvernforordningen artikkel 28 nr. 3. Den behandlingsansvarliges bruk, konfigurasjon og administrasjon av systemet (herunder valg av funksjonalitet, tilgangsstyring og innstillinger) skal også anses som dokumentert instruks.

Databehandleren skal kun behandle de personopplysninger som den behandlingsansvarlige registrerer, laster opp eller på annen måte gjør tilgjengelig i systemet, og skal ikke selv fastsette formål eller midler for behandlingen. Behandlingen kan omfatte både alminnelige personopplysninger og, avhengig av den behandlingsansvarliges bruk av systemet, særlige kategorier av personopplysninger, herunder helseopplysninger.

Eventuelle endringer i behandlingens omfang eller karakter skal dokumenteres og anses som instruks fra den behandlingsansvarlige når de er skriftlig bekreftet.

4.3 Behandlingens geografiske omfang og overføring til tredjeland

Behandling og lagring av personopplysninger skjer som hovedregel innenfor EU/EØS. Dersom databehandleren i forbindelse med leveransen benytter underdatabehandlere eller konsernstrukturer som kan medføre overføring av eller tilgang til personopplysninger fra land utenfor EU/EØS, skal slik overføring skje i samsvar med personvernforordningens kapittel V og på grunnlag av den behandlingsansvarliges dokumenterte instruks.

Databehandleren skal i slike tilfeller sikre at det foreligger gyldig overføringsgrunnlag, herunder EU-kommisjonens standardkontraktsbestemmelser (SCC 2021), gyldig tilstrekkelighetsbeslutning, herunder EU–US Data Privacy Framework der dette er relevant, samt eventuelle supplerende tiltak basert på gjennomført Transfer Impact Assessment (TIA). Dokumentasjon for overføringsgrunnlag og eventuelle risikovurderinger skal kunne fremlegges på forespørsel.

4.4 Bruk av underdatabehandlere

Databehandleren kan benytte underdatabehandlere i samsvar med personvernforordningen artikkel 28 nr. 2 og 4 for å oppfylle sine forpliktelser etter lisensavtalen og denne databehandleravtalen. Den behandlingsansvarlige gir ved inngåelsen av denne avtalen en generell forhåndsgodkjenning til bruk av de underdatabehandlere som fremgår av Bilag 3 (Underdatabehandlere). Bilag 3 angir hvilke underdatabehandlere som benyttes, hvilken behandling de utfører og eventuelle overføringsgrunnlag ved tilgang fra tredjeland.

Ved planlagte endringer som innebærer tillegg eller utskifting av underdatabehandlere, skal databehandleren varsle den behandlingsansvarlige skriftlig minst 30 dager før endringen trer i kraft. Den behandlingsansvarlige kan innen denne fristen fremsette saklig og begrunnet innsigelse knyttet til personvern- eller informasjonssikkerhetsmessige forhold. Dersom slik innsigelse fremsettes, skal partene i god tro søke å finne en løsning.

Databehandleren skal ved avtale eller annet rettslig grunnlag sikre at underdatabehandler pålegges de samme databeskyttelsesforpliktelser som følger av denne databehandleravtalen, herunder krav til konfidensialitet, sikkerhet, bistand og sletting. Databehandleren forblir fullt ansvarlig overfor den behandlingsansvarlige for underdatabehandlerens oppfyllelse av sine forpliktelser.

Midlertidig og begrenset tilgang til personopplysninger i forbindelse med teknisk vedlikehold eller support anses som behandling på vegne av den behandlingsansvarlige og skal være underlagt tilsvarende konfidensialitets- og sikkerhetsforpliktelser.

4.5 Henvendelser fra offentlige myndigheter

Databehandleren skal ikke utlevere personopplysninger til offentlige myndigheter, herunder politi, skattemyndigheter eller andre instanser, uten at den behandlingsansvarlige er varslet skriftlig på forhånd, med mindre databehandleren er rettslig forpliktet til å unnlate slik varsling – for eksempel i tilfeller som involverer strafferettslig etterforskning.

Dersom databehandleren mottar en rettslig bindende anmodning om tilgang til personopplysninger, skal databehandleren:

  • Dokumentere anmodningen og oppbevare kopi av all relevant korrespondanse
  • Umiddelbart varsle den behandlingsansvarlige med beskrivelse av anmodningen og rettsgrunnlaget, med mindre dette er forbudt etter gjeldende lov
  • Iverksette egnede tekniske og organisatoriske tiltak for å beskytte de registrertes personopplysninger og begrense tilgangen

Databehandleren skal påse at tilsvarende forpliktelser også er kontraktuelt pålagt eventuelle underdatabehandlere.

5. Forpliktelser som Databehandler

5.1 Bistand til Behandlingsansvarlig

Databehandler bistår, under hensyntagen til behandlingens art og så langt det er mulig, den behandlingsansvarlige ved hjelp av egnede tekniske og organisatoriske tiltak med å oppfylle den behandlingsansvarliges forpliktelser til å besvare anmodninger om utøvelse av de registrertes rettigheter i henhold til personvernforordningens kapittel III.

Bistanden ytes på grunnlag av den behandlingsansvarliges dokumenterte instruks og innenfor rammene av partenes avtale.

Databehandler bistår den behandlingsansvarlige i den grad det er nødvendig og forholdsmessig, og kun når det gjelder personopplysninger og behandlingsaktiviteter som databehandler faktisk behandler på vegne av den behandlingsansvarlige.

Databehandler bistår videre, under hensyntagen til behandlingens art og de opplysninger som er tilgjengelige for databehandler, den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i personvernforordningens artikler 32–36, herunder:

  • håndtering og melding av brudd på personopplysningssikkerheten
  • underretning av registrerte ved brudd på personopplysningssikkerheten
  • gjennomføring av vurdering av personvernkonsekvenser (DPIA)
  • forhåndsdrøftelse med tilsynsmyndigheten

Bistand etter dette punktet ytes i den grad den behandlingsansvarlige ikke selv har tilgang til de relevante opplysningene, og kan kreve særskilt vederlag dersom bistanden går utover databehandlers standardfunksjonalitet eller avtalte ytelser.

5.2 Tekniske og organisatoriske tiltak

Databehandler skal til enhver tid gjennomføre og opprettholde egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen skjer i samsvar med personvernregelverket og denne databehandleravtalen.

Tiltakene skal sikre et sikkerhetsnivå som er passende ut fra behandlingens art, omfang, formål og risiko for de registrertes rettigheter og friheter, jf. GDPR artikkel 32. Dette omfatter blant annet tiltak for å:

  • sikre personopplysningenes fortrolighet, integritet, tilgjengelighet og robusthet
  • forebygge og avdekke uautorisert tilgang, endring, sletting eller utlevering
  • gjenopprette tilgjengelighet og tilgang til personopplysninger ved hendelser
  • teste, vurdere og evaluere effektiviteten av sikkerhetstiltakene regelmessig

Databehandler skal løpende vurdere og oppdatere sikkerhetstiltakene i lys av teknologisk utvikling, identifiserte risikoer og bransjestandarder.

Dokumentasjon på etablerte tiltak skal kunne fremlegges på forespørsel innenfor rammene av lisensavtalen og revisjonsbestemmelsene.

Databehandler arbeider etter anerkjente standarder for informasjonssikkerhet og har implementert prinsipper for innebygd personvern og personvern som standardinnstilling.

6. Varsling om brudd på personopplysningssikkerheten

Databehandleren skal uten unødig forsinkelse varsle den behandlingsansvarlige etter at det er blitt kjent at det har skjedd et brudd på personopplysningssikkerheten.

Varslingen fra databehandleren til den behandlingsansvarlige skal, dersom mulig, skje senest innen 24 timer etter at databehandleren ble kjent med bruddet, slik at den behandlingsansvarlige kan overholde sin forpliktelse til å melde bruddet til kompetent tilsynsmyndighet i henhold til personvernforordningen artikkel 33.

Databehandleren skal bistå den behandlingsansvarlige i å sende melding om bruddet til den kompetente tilsynsmyndigheten. Dette innebærer at databehandleren skal bidra til å fremskaffe følgende informasjon, som ifølge artikkel 33, pkt. 3, skal inngå i den behandlingsansvarliges melding til tilsynsmyndigheten:

  1. karakteren av bruddet på personopplysningssikkerheten, herunder, dersom mulig, kategorier og omtrentlig antall berørte registrerte, samt kategorier og omtrentlig antall berørte registreringer av personopplysninger

  2. de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten

  3. tiltak som den behandlingsansvarlige har iverksatt eller foreslår iverksatt for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom relevant, tiltak for å begrense skadevirkningene.

Umiddelbart etter å ha varslet om bruddet på personvernlovgivningen skal databehandleren gi en ytterligere beskrivelse til den behandlingsansvarlige av:

  • Alle relevante forhold ved bruddet som databehandleren har kjennskap til, herunder hva bruddet består av, samt kategorier og mengder av personopplysninger. Opplysninger om bruddet som databehandleren blir kjent med etter den første varslingen skal gis til den behandlingsansvarlige så snart som mulig.
  • Hvilke tiltak som er gjennomført eller foreslått for å forebygge konsekvenser og begrense omfanget av bruddet på personopplysningssikkerheten.

Databehandleren skal også bistå den behandlingsansvarlige med å vurdere konsekvensene for personvernet ved et slikt brudd.

Databehandleren forplikter seg til å varsle den behandlingsansvarlige dersom det blir avdekket at databehandleren ikke etterlever, eller det viser seg vanskelig å etterleve, kravene i personvernlovgivningen og denne databehandleravtalen – uansett årsak. I et slikt tilfelle kan den behandlingsansvarlige suspendere videre behandling av personopplysninger.

7. Ansvar for behandlingen

Den behandlingsansvarlige er ansvarlig for at personopplysningene databehandleren får tilgang til er innhentet lovlig og har et gyldig behandlingsgrunnlag.

Den behandlingsansvarlige har det primære ansvaret for behandlingen av personopplysninger, og for å gi melding til databehandler dersom det er behov for bistand i henhold til GDPR artikkel 28.

Den behandlingsansvarlige skal holde databehandleren skadesløs for alle kostnader, utgifter, skader, tap (herunder indirekte tap), forpliktelser og krav som databehandleren måtte bli møtt med fra tredjepart, forutsatt at dette skyldes brudd på personvernlovgivningen eller andre forpliktelser etter denne avtalen fra den behandlingsansvarliges side.

Ansvar for materiell eller ikke-materiell skade på én eller flere registrerte skal reguleres i henhold til vilkårene og retningslinjene i GDPR artikkel 82.

Databehandleren er ansvarlig for skader, bøter eller tap som kan tilbakeføres til egne handlinger eller unnlatelser som utgjør brudd på denne avtalen eller gjeldende personvernlovgivning, herunder uaktsomhet ved ivaretakelsen av tekniske og organisatoriske tiltak.

Databehandlers maksimale ansvar reguleres i henhold til lisensavtalen og tilhørende lisensvilkår.

Ingen ansvarsbegrensning gjelder dersom den skadevoldende handlingen er begått forsettlig eller ved grov uaktsomhet fra noen av partene.

8. Sikkerhetsrevisjon

Databehandler skal gjøre tilgjengelig den informasjon som er nødvendig for å dokumentere overholdelse av GDPR artikkel 28 og denne avtalen.

Som hovedregel oppfylles revisjonsforpliktelsen ved at databehandler årlig innhenter relevant revisjonserklæring og/eller sertifisering fra uavhengig tredjepart, som gjøres tilgjengelig for behandlingsansvarlig. Slik dokumentasjon anses som tilstrekkelig for å oppfylle behandlingsansvarliges kontrollbehov, med mindre særlige forhold tilsier noe annet.

Behandlingsansvarlig kan be om ytterligere dokumentasjon dersom det foreligger konkret og saklig grunn til å anta vesentlig brudd på personvernregelverket eller denne avtalen.

Dersom revisjonsrapporter og tilgjengelig dokumentasjon ikke anses tilstrekkelig, kan behandlingsansvarlig kreve ytterligere revisjon. Før slik revisjon gjennomføres skal partene skriftlig avtale omfang, metode, varighet, tidspunkt og praktisk gjennomføring. Revisjonen skal:

  • varsles med minimum 30 dagers skriftlig varsel

  • gjennomføres i normal arbeidstid

  • ikke forstyrre databehandlers virksomhet

  • begrenses til forhold som er relevante for behandlingen av personopplysninger

  • gjennomføres av en uavhengig og kvalifisert tredjepart underlagt taushetsplikt

  • gjennomføres for behandlingsansvarliges regning

Revisjon skal ikke gi tilgang til andre kunders data, forretningshemmeligheter eller sikkerhetskritisk informasjon som ikke er relevant for den aktuelle behandlingen.

Inspeksjonsretten omfatter ikke fysiske lokasjoner eller datasentre som driftes av tredjepart. Dokumentasjon for slike miljøer gis gjennom tilgjengelig tredjepartsdokumentasjon.

Dersom en revisjon avdekker vesentlig avvik fra denne avtalen eller gjeldende personvernlovgivning, skal databehandler uten ugrunnet opphold iverksette nødvendige korrigerende tiltak.

Intet i denne bestemmelsen begrenser tilsynsmyndigheters lovbestemte rettigheter.

9. Konfidensialitet

Databehandleren skal kun gi tilgang til personopplysninger, som behandles på vegne av den behandlingsansvarlige, til personer som er underlagt Databehandlerens instruksjonsmyndighet, og som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt – og kun i det omfang det er nødvendig. Listen over personer som har fått tilgang, skal jevnlig gjennomgås. Basert på denne gjennomgangen kan tilgangen til personopplysninger fjernes dersom den ikke lenger er nødvendig, og opplysningene skal da ikke lenger være tilgjengelige for disse personene.

Databehandleren skal, etter forespørsel fra den behandlingsansvarlige, kunne dokumentere at de aktuelle personene som er underlagt Databehandlerens instruksjonsmyndighet, er underlagt ovennevnte taushetsplikt.

Taushetsplikten gjelder for Partenes ansatte, underleverandører som handler på vegne av Partene i forbindelse med gjennomføringen av denne databehandleravtalen og lisensavtalen. Partene kan kun overføre konfidensiell informasjon til underleverandører og tredjepart i den grad det er nødvendig for gjennomføringen av denne databehandleravtalen og lisensavtalen, forutsatt at disse er pålagt en konfidensialitetsplikt som tilsvarer dette punktet.

Taushetsplikten gjelder også etter at databehandleravtalen og lisensavtalen er opphørt. Ansatte eller andre som fratrer sine stillinger hos en av partene, skal fortsatt være underlagt taushetsplikt, selv etter fratreden, i henhold til betingelsene nevnt ovenfor. Taushetsplikten varer i 10 (ti) år etter opphør av denne databehandleravtalen og lisensavtalen, med mindre annet er fastsatt ved lov eller forskrift.

10. Varighet og avslutning av behandlingen

Personopplysninger lagres hos databehandler så lenge lisensavtalen er aktiv, og behandles i samsvar med behandlingsansvarliges dokumenterte instruks. Databehandler foretar ikke sletting på eget initiativ, med mindre dette følger av lov, sikkerhetsmessige hensyn eller uttrykkelig instruks fra behandlingsansvarlig.

Databehandlers behandling av personopplysninger på vegne av behandlingsansvarlig opphører ved avslutning av lisensavtalen.

Ved opphør av lisensavtalen skal databehandler, uten ugrunnet opphold og senest innen 90 dager etter lisensforholdets opphør, slette personopplysningene, med mindre behandlingsansvarlig innen samme frist har gitt skriftlig instruks om tilbakelevering i henhold til punkt 11.

I perioden frem til sletting eller tilbakelevering skal personopplysningene ikke behandles aktivt, med mindre dette er nødvendig for å gjennomføre tilbakelevering eller oppfylle lovpålagte forpliktelser.

Før sletting kan databehandler anonymisere personopplysninger, forutsatt at anonymiseringen er irreversibel og gjennomført i samsvar med gjeldende personvernlovgivning, slik at opplysningene ikke lenger kan knyttes til en identifisert eller identifiserbar fysisk person. Fullt anonymiserte opplysninger anses ikke som personopplysninger og kan beholdes for statistiske, sikkerhetsmessige eller dokumentasjonsformål.

11. Tilbakelevering av personopplysninger

Dersom behandlingsansvarlig skriftlig instruerer databehandler om tilbakelevering av personopplysninger ved lisensavtalens opphør, skal tilbakelevering skje innen 30 dager etter anmodningen er mottatt med mindre annet er særskilt avtalt.

Tilbakelevering skjer i et strukturert og maskinlesbart format. Standardformat er CSV, med mindre annet er særskilt avtalt mellom partene.

Databehandler har rett til rimelig vederlag for bistand i forbindelse med tilbakelevering eller utlevering av personopplysninger utover ordinær systemfunksjonalitet. Slik bistand faktureres etter gjeldende satser.

Krav om annet filformat, særskilt strukturering, migreringsbistand eller tilpasninger til tredjepartssystem anses som tilleggstjenester og faktureres særskilt.

Databehandler kan kun tilbakelevere personopplysninger direkte til behandlingsansvarlig eller til tredjepart som behandlingsansvarlig skriftlig har utpekt.

Bilag 1 – Informasjon om behandlingen

1. Formål

Formålet med behandlingen er å levere tilgang til og drifte ExorLive digitale trenings- og rehabiliteringsplattform.

Behandlingen gjør det mulig for den behandlingsansvarlige å:

  • Opprette og administrere trenings- og rehabiliteringsprogrammer

  • Gi sluttbrukere tilgang til digitale treningsprogrammer

  • Dokumentere, følge opp og evaluere treningsforløp

  • Administrere brukerkontoer og tilgangsstyring

  • Sikre logging og sporbarhet

2. Behandlingens art

Behandlingen består av:

  • Innsamling

  • Registrering

  • Strukturering

  • Lagring

  • Tilgjengeliggjøring

  • Overføring

  • Sletting

  • Analyse

3. Kategorier av personopplysninger

Kan omfatte:

  • Identifikasjonsopplysninger (navn, fødselsdato)

  • Kontaktopplysninger (e-post, telefon)

  • Bruksdata og loggdata

  • Trenings- og rehabiliteringsdata

  • Helseopplysninger (avhengig av kundens bruk)

  • Opplastede bilder og videoer

Databehandler behandler kun opplysninger som registreres av den behandlingsansvarlige.

4. Kategorier av registrerte

  • Ansatte

  • Pasienter / klienter / medlemmer / Borgere

  • Sluttbrukere av treningsprogrammer

5. Automatisert behandling og AI-funksjonalitet

ExorLive-plattformen kan inneholde funksjoner som benytter automatisert behandling, herunder kunstig intelligens (“AI-funksjoner”), som støtteverktøy for brukerne.

AI-funksjoner genererer forslag eller annet støtteinnhold basert på opplysninger som registreres i systemet av den behandlingsansvarlige eller dennes brukere. Resultater generert av AI-funksjoner er kun veiledende og skal alltid vurderes og eventuelt tilpasses av kvalifisert fagperson.

AI-funksjoner behandler kun opplysninger som den behandlingsansvarlige eller dennes brukere aktivt registrerer i systemet (herunder i fritekstfelt). Databehandler har ikke kontroll over hvilke opplysninger som registreres, og den behandlingsansvarlige er ansvarlig for at det ikke registreres personopplysninger i strid med gjeldende personvernlovgivning.

Databehandler behandler personopplysninger via AI-funksjoner utelukkende på vegne av og etter instruks fra den behandlingsansvarlige, jf. denne databehandleravtalen og personvernforordningen artikkel 28.

Den behandlingsansvarlige kan når som helst deaktivere AI-funksjoner i systemets administrasjonsinnstillinger.

Nærmere informasjon om ExorLives bruk av AI, herunder teknisk funksjon, sikkerhetstiltak og etterlevelse av gjeldende regelverk, fremgår av ExorLives dokumentasjon:

ExorLive AI – Generell Informasjon

Detaljert dokumentasjon for de enkelte AI-funksjonene er tilgjengelig i ExorLives brukerdokumentasjon og supportportal.

Databehandler kan løpende introdusere nye AI-funksjoner. Slike funksjoner vil være underlagt denne avtalen og den behandlingsansvarliges instruks, med mindre annet er særskilt avtalt.

6. Varighet

Behandlingen varer så lenge lisensavtalen er aktiv. Den behandlingsansvarlige kan, dersom ønskelig, selv konfigurere innstillinger for løpende sletting direkte i administrasjonspanelet.

Ved opphør gjelder slettingsreglene i hovedavtalen.

Bilag 2 – Tekniske og organisatoriske tiltak

1. Sertifiseringer og styringssystem

Databehandler opprettholder et styringssystem for informasjonssikkerhet og personvern. Databehandler er sertifisert etter ISO 27001 og ISO 13485. Sertifiseringer dokumenteres på forespørsel.

2. Organisering, roller og retningslinjer

Databehandler har definert roller, ansvar og myndighet for informasjonssikkerhet og personvern. Personvernombud involveres i relevante spørsmål og håndtering av sikkerhetshendelser. Databehandler har etablerte og ledelsesgodkjente retningslinjer og prosedyrer for behandling av personopplysninger, og disse kommuniseres til relevante ansatte.

3. Konfidensialitet og opplæring

Ansatte og andre som handler under databehandlers instruksjonsmyndighet og som får tilgang til personopplysninger, er underlagt taushetsplikt eller tilsvarende konfidensialitetsforpliktelser. Databehandler gjennomfører opplæring i informasjonssikkerhet og personvern ved oppstart og regelmessig deretter, herunder opplæring knyttet til aktuelle trusler som phishing og sosial manipulering, samt håndtering av sikkerhets- og personvernhendelser.

4. Tilgangsstyring og autentisering

Tilgang til systemer og personopplysninger tildeles etter rolle- og behovsprinsipp (minste privilegium). Tilgang baseres på individuell autentisering, og flerfaktorautentisering benyttes der dette er relevant. Tilganger gjennomgås regelmessig, og tilganger fjernes ved endrede behov.

5. Logging og sporbarhet

Databehandler fører logging i den grad det er nødvendig for å ivareta sporbarhet og sikkerhet. Logging omfatter relevante hendelser knyttet til autentisering, administrative handlinger og endringer i systemkonfigurasjon og/eller behandling av personopplysninger. Loggdata beskyttes mot uautorisert endring og håndteres i henhold til interne rutiner for lagringstid og sletting.

6. Sikring av systemer, enheter og nettverk

Databehandler benytter sikkerhetsmekanismer for å forebygge, avdekke og håndtere uautorisert tilgang og skadelig aktivitet, herunder oppdaterings- og patchrutiner, skadevarebeskyttelse og nettverkssikring. Kritiske sikkerhetsoppdateringer håndteres uten ugrunnet opphold. Fjernaksess for administrasjon eller vedlikehold skjer over sikre forbindelser og underlagt tilgangskontroll.

7. Kryptering

Databehandler benytter kryptering der dette er nødvendig for å oppnå et passende sikkerhetsnivå, herunder ved overføring av fortrolige og/eller særlige kategorier av personopplysninger over eksterne kommunikasjonsforbindelser. Krypteringsløsninger og nøkkelhåndtering er regulert i interne retningslinjer og oppdateres ved behov.

8. Dataseparasjon

Kundedata er logisk separert fra andre kunders data.

9. Utvikling, test og endringshåndtering

Databehandler har etablerte rutiner for endringshåndtering som sikrer at endringer autoriseres, testes og godkjennes før implementering. Test- og utviklingsmiljøer er adskilt fra produksjonsmiljøer. Databehandler arbeider etter prinsippene om innebygd personvern og personvern som standardinnstilling.

10. Sikkerhetskopiering, gjenoppretting og kontinuitet

Databehandler gjennomfører regelmessig sikkerhetskopiering og har rutiner for gjenoppretting. Databehandler har beredskapsrutiner som støtter gjenoppretting av tilgjengelighet og tilgang ved driftsforstyrrelser, og gjennomfører regelmessig testing/øvelser og evaluering av relevante rutiner.

11. Håndtering av sikkerhets- og personvernhendelser

Databehandler har rutiner for å oppdage, håndtere, dokumentere og følge opp sikkerhets- og personvernhendelser, herunder rutiner som støtter databehandlers varslingsforpliktelser etter databehandleravtalen og GDPR artikkel 33 og 34.

12. Underdatabehandlere

Databehandler vurderer sikkerhetsnivå og egnethet hos underdatabehandlere før engasjement, og sikrer at underdatabehandlere pålegges tilsvarende forpliktelser som følger av databehandleravtalen. Databehandler følger opp underdatabehandlere i tråd med interne rutiner.

13. Endringer i tiltak

Databehandler kan videreutvikle og endre sikkerhetstiltakene i avtaleperioden, forutsatt at det samlede sikkerhetsnivået ikke reduseres.

Bilag 3 – Underdatabehandlere

Dette bilaget utgjør den til enhver tid gjeldende oversikt over underdatabehandlere som databehandler benytter i henhold til punkt 4.4 i databehandleravtalen .

Den behandlingsansvarlige gir ved inngåelsen av databehandleravtalen generell forhåndsgodkjenning til bruk av de underdatabehandlere som fremgår av dette bilaget.

1. Underdatabehandlere

1.1 Microsoft Ireland Operations Ltd

Att: Data Protection
Carmenhall Road
Sandyford, Dublin 18
Irland

Formål:
Leveranse av skyinfrastruktur og lagring av personopplysninger.

Behandlingssted:
EU/EØS.

Tredjelandsoverføring
Kan forekomme som følge av konsernstruktur eller fjernsupport. Overføring skjer i samsvar med GDPR kapittel V på grunnlag av gyldig overføringsgrunnlag, herunder EU-kommisjonens standardkontraktsbestemmelser og/eller gyldig tilstrekkelighetsbeslutning.

1.2 Atlassian (benyttet via skyinfrastruktur i EU/EØS)

Atlassian via Amazon Web Services
(Behandling skjer via datasentre lokalisert i EU/EØS)

Formål:
Support- og saksbehandlingssystem i forbindelse med håndtering av kundehenvendelser.

Behandlingssted:
EU/EØS.

Tredjelandsoverføring:
Kan forekomme som følge av konsernstruktur eller supporttilgang. Overføring skjer i samsvar med GDPR kapittel V på grunnlag av gyldig overføringsgrunnlag, herunder EU-kommisjonens standardkontraktsbestemmelser og/eller gyldig tilstrekkelighetsbeslutning.

2. Overføringsgrunnlag ved tredjelandsoverføring

Dersom behandling eller tilgang til personopplysninger innebærer overføring til tredjeland, sikrer databehandler at det foreligger gyldig overføringsgrunnlag i henhold til personvernforordningen kapittel V.

Dette kan omfatte:

  • EU-kommisjonens standardkontraktsbestemmelser (SCC 2021)

  • Gyldig tilstrekkelighetsbeslutning

  • EU–US Data Privacy Framework, der dette er relevant

Dokumentasjon for overføringsgrunnlag kan fremlegges på forespørsel.

3. Endringer i underdatabehandlere

Ved planlagte endringer i underdatabehandlere gjelder prosedyren i punkt 4.4 i databehandleravtalen .

Oppdatert liste over underdatabehandlere vil til enhver tid være tilgjengelig via skriftlig kundekommunikasjon.


Lenke til v1: Databehandleravtale gjeldende før 23.3.2026

Artikler i denne seksjonen

Se mer